Segmentados Administración sistemas y redes TI

El incremento de sistemas de control industrial y las carencias en materia de ciberseguridad conocidas en ellos los han convertido en objetivo directo para los atacantes. Ha aumentado el número de herramientas diseñadas que atemorizan al sector TO, donde recientemente se destaca el uso de la herramienta de Incontroller.

Los PLC, o controladores lógicos programables, están presentes en los entornos industriales desde el inicio de la automatización. Dada la evolución que han sufrido los mismos, gracias a una mayor inteligencia, se han convertido en un objetivo interesante para potenciales atacantes.

Es tanta la información que se encuentra actualmente accesible para los usuarios en Internet, que aquella ofrecida por ciertas páginas web o aplicaciones en tiempo real puede resultar de especial preocupación en cuanto a su confidencialidad para ciertos sectores, dado que podría ser utilizada con fines malintencionados.

Con el fin de incrementar el nivel de seguridad en las redes TO, actualmente existen soluciones que monitorizan las redes, dispositivos y configuraciones, buscando activamente anomalías en las mismas y posibles fallos de seguridad e intrusiones que pudieran llevarse a cabo. Sin embargo, existen otros tipos de ataques a SCI que se realizan en un plano completamente distinto, donde los sistemas de análisis de anomalías no pueden llegar. Se trata de ataques a los sensores analógicos.

Nobelium es la denominación de Microsoft para un grupo de atacantes que, según la atribución llevada a cabo por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos, pertenecen al Servicio de Inteligencia Exterior (SRV) de Rusia. Este grupo criminal es conocido por el ataque a la cadena de suministro de SolarWinds, y una campaña masiva de phishing haciéndose pasar por una empresa de desarrollo estadounidense.

En este post se presentan algunas líneas de actuación que deben seguirse para hacer frente a un ciberataque DrDoS basado en el protocolo ARD, describiendo detalladamente las fases de prevención, identificación y respuesta a adoptar.

En los últimos años, el concepto de machine learning ha cobrado cada vez más relevancia, principalmente impulsado por los avances en capacidad de computación de forma paralela. Cada vez son más los desarrollos, aplicaciones y programas que se sirven de estos algoritmos para dotar al sistema de una mayor seguridad, inteligencia y autonomía. Sin embargo, su uso en entornos industriales es todavía muy escaso, aunque algunas pruebas y desarrollos recientes demuestran su eficacia, incluyendo en el ámbito de la detección y predicción de ciberataques.

Grandoreiro, también conocido como Delephant, es un troyano bancario procedente de Sudamérica, que ha extendido sus operaciones a otras regiones, sobre todo a Europa, incluyendo España y Portugal. Según investigadores de ESET, ha estado activo desde el año 2015, afectando a países de América Latina, principalmente Brasil, país en el que se desarrolló.

Las debilidades en la implementación del protocolo TCP en los middleboxes podrían suponer un medio para llevar a cabo ataques de denegación de servicio distribuidos reflejados (DrDoS) contra cualquier objetivo.

La seguridad de los sistemas de control puede verse amenazada desde distintas vertientes, siendo el dispositivo final el vector de ataque más importante de ellos. Teniendo esto en mente, la IEC, dentro del estándar 62443, quiso hacer hincapié en los dispositivos haciendo un documento exclusivo para su seguridad: IEC62443-4-2. Este documento recoge diferentes requisitos técnicos para mejorar la seguridad de los tipos de activos que pueden encontrarse en un sistema de control.

En este post se presentan algunas líneas de actuación que deben seguirse para hacer frente a un ciberataque DrDoS basado en el protocolo SNMP, describiendo detalladamente las fases de prevención, identificación y respuesta a adoptar.

Desde INCIBE-CERT aglutinamos una serie de medidas y acciones que recomendamos adoptar y revisar para proteger la información de las organizaciones, y su aplicación en los dispositivos que utilizan, así como en su presencia digital en el ciberespacio. Estas medidas están orientadas a mejorar su nivel de protección ante incidentes de ciberseguridad, para poder minimizar su riesgo ante ciberataques que puedan afectar a la prestación de servicios de su negocio.